網(wǎng)絡課程設計---大學數(shù)字化校園網(wǎng)絡搭建

1、<p><b>　　網(wǎng)絡實務課程設計</b></p><p><b>　　目 錄</b></p><p><b>　　1 引言3</b></p><p><b>　　2 需求分析3</b></p><p><b>　　2.1建網(wǎng)

2、需求3</b></p><p>　　2.2 設計目標4</p><p>　　3 校園網(wǎng)結構的設計4</p><p>　　3.1 總體設計原則4</p><p><b>　　4 解決方案5</b></p><p>　　4.1.網(wǎng)絡拓撲結構5</p><p&

3、gt;　　4.2組網(wǎng)技術選擇6</p><p><b>　　4.3方案說明6</b></p><p>　　4.4關鍵核心技術的實現(xiàn)6</p><p>　　4.5中心機房的設計方案8</p><p>　　4.6出口發(fā)案說明9</p><p>　　5.網(wǎng)絡設備選型11</p>

4、<p><b>　　5.1交換機11</b></p><p>　　5.2 銳捷網(wǎng)絡 RG-WALL 100012</p><p><b>　　5.3服務器12</b></p><p>　　6 網(wǎng)絡系統(tǒng)建設13</p><p>　　6.1 網(wǎng)絡平臺選擇13</p>

5、<p>　　6.2 硬件平臺13</p><p>　　6.3 操作系統(tǒng)13</p><p>　　6.4 應用平臺14</p><p>　　7 網(wǎng)絡地址規(guī)劃14</p><p>　　7.1 IP 地址規(guī)劃14</p><p>　　7.2 VLAN 劃分18</p><p>

6、　　8 “數(shù)字化校園“網(wǎng)絡建設方案實施控制流程2</p><p>　　9 網(wǎng)絡安全設計12</p><p>　　9.1物理安全設計12</p><p>　　9.2網(wǎng)絡共享資源和數(shù)據(jù)信息安全設計13</p><p>　　9.3防火墻技術12</p><p><b>　　參考文獻17</b>

7、;</p><p><b>　　1 引言</b></p><p>　　科學技術的發(fā)展日新月異，網(wǎng)絡技術已經(jīng)成為現(xiàn)代信息技術的主流，人們對網(wǎng)絡的認識也隨著網(wǎng)絡的應用的逐漸普及而迅速改變。而網(wǎng)絡必將成為一種通用的工具，成為人們生活，工作，學習中必不可少的一部分。校園網(wǎng)應為學校教學，科研提供先進的信息化教學環(huán)境。</p><p>　　在現(xiàn)在這個知識爆

8、炸的社會中，對于合格人才的要求越來越多，需要他們掌握大量的各類知識，在教育中需要提高教學效率。現(xiàn)在出現(xiàn)了許多新的教學方法，以各種方式提高學生對知識的掌握速度，在與前人同樣的時間內(nèi)，掌握比前人更多的知識，而這些教學方法，需要利用計算機網(wǎng)絡才能實現(xiàn)。</p><p>　　這就要求校園網(wǎng)是一個具有交互功能和專業(yè)性很強的局域網(wǎng)絡。多媒體教學軟件的開發(fā)平臺，多媒體演示教室，教師備課系統(tǒng)，電子閱覽室以及教學，考試資料庫等，都

9、可以通過網(wǎng)絡運行工作。校園網(wǎng)是指利用網(wǎng)絡設備，通信介質(zhì)和組網(wǎng)技術和協(xié)議以及各類系統(tǒng)管理軟件和各種終端有效地集成在一起，并用于教學，科研，學校管理，信息資源共享和遠程教學等方面的計算機局域網(wǎng)系統(tǒng)。</p><p>　　校園網(wǎng)應具有教學，管理和通信三大功能。對于目前的校園網(wǎng)建設來說，主要側重于教學和通信，難以實現(xiàn)以數(shù)字化校園為核心的管理領域。</p><p><b>　　2 需求分析

10、</b></p><p><b>　　2.1建網(wǎng)需求</b></p><p>　　校園寬帶網(wǎng)用戶集中且網(wǎng)絡流量大，關注網(wǎng)絡的可運營和可管理特性，校園網(wǎng)建網(wǎng)需求如下：</p><p>　　1、教學區(qū)、宿舍區(qū)用戶對校園網(wǎng)、教育網(wǎng)、INTERNET的訪問有相應的路由策略。</p><p>　　2、校園網(wǎng) 存在 多個

11、出 口需 求，校 園網(wǎng) 至少要 提供 中國教 育科 研網(wǎng)（ CERNET ）和 INTERNET兩個出口。</p><p>　　3、校園網(wǎng)安全性要求較高，要求設備能夠?qū)崿F(xiàn)用戶識別和動態(tài)綁定功能如通過 “IP+MAC+端口”三元組的動態(tài)綁定來識別用戶。</p><p>　　4、校園網(wǎng)WEB頁面可實現(xiàn)以下功能：用戶Web自助服務功能，用戶可通過Web自助服務頁面，進行個人資料的查詢、密碼修改、

12、上網(wǎng)明細查詢、繳費記錄查詢以及在線預注冊。</p><p>　　5、校園網(wǎng)要求能對每個用戶的使用情況能進行事后審計，能夠定位到IP地址以及用戶所連接的端口和登錄的用戶名，限定帳號的使用端口。</p><p>　　6、校園網(wǎng)要求能實現(xiàn)對用戶帶寬的動態(tài)控制。</p><p>　　7、校園網(wǎng)要求實現(xiàn)組播業(yè)務。</p><p>　　8、校園網(wǎng)要求在學

13、校規(guī)模不斷擴大中，用戶數(shù)在持續(xù)增加，要求網(wǎng)絡具有很好的擴展性，能夠根據(jù)需要逐步平滑升級到萬兆的骨干連接。</p><p>　　校園網(wǎng)建成后將實現(xiàn)以下基本功能：</p><p>　　校園網(wǎng)建成后將實現(xiàn)以下基本功能：</p><p>　　1）計算機教學，包括多媒體教學和遠程教學；</p><p>　　2）網(wǎng)絡下載、網(wǎng)絡聊天等；</p>

14、<p>　　3）電子郵件系統(tǒng)：主要進行與同行交往、開展技術合作、學術交流等活動；</p><p>　　4）文件傳輸 FTP：主要利用 FTP 服務獲取重要的科技資料和技術文擋；</p><p>　　5）INTERNET 服務：學?？梢越⒆约旱闹黜摚猛獠烤W(wǎng)頁進行學校宣傳，提供各類咨詢信息等，利用內(nèi)部網(wǎng)頁進行管理，例如發(fā)布通知、收集學生意見等。</p><

15、;p>　　6）圖書館的訪問系統(tǒng)，用于計算機查詢、計算機檢索、計算機閱讀等；</p><p>　　7)其他應用，如大型分布式數(shù)據(jù)庫系統(tǒng)、超性能計算資源共享、管理系統(tǒng)、視頻會議等</p><p><b>　　2.2 設計目標</b></p><p>　　本項目的實施將會大大改善學校的教學和科研條件。系統(tǒng)完成后將達到以下目標：（1）建立一個連

16、接多媒體教室，圖書館等地的校園網(wǎng)，該網(wǎng)的骨干速率為100Mb/s。（2）建立VPN服務器，以支持教師的移動辦公。教師在任何地方，通過Modem撥號，在授權情況下都可以訪問校內(nèi)信息。（3）建立學校本身的WWW服務器，提供學校的主頁。（4）提供學校圖書館數(shù)目的聯(lián)機查詢。（5）建立郵件服務器，為全校師生提供電子郵件服務。（6）提供文件傳輸服務。</p><p>　　3 校園網(wǎng)結構的設計</p><p

17、>　　根據(jù)學校實際情況和特點，進行校園網(wǎng)的建設。在設計過程中，注意校園網(wǎng)的實用性與先進性的結合，并且采用成熟的網(wǎng)絡技術，保證校園網(wǎng)的實用性。</p><p><b>　　3.1總體設計原則</b></p><p>　　在校園網(wǎng)的建設過程中，系統(tǒng)建設應始終貫徹面向應用，注重實效的方針，堅持實用、經(jīng)濟的原則。校園網(wǎng)覆蓋整個學校校園，網(wǎng)絡設計遵循下列5個基本原則：&l

18、t;/p><p>　　可靠性和高性能網(wǎng)絡必須是可靠的，包括網(wǎng)元級的可靠性，如引擎、風扇、單板、總計等；以及網(wǎng)絡級的可靠性，如路由、交換的匯聚，鏈路冗余，負載均衡等。網(wǎng)絡必須具有足夠高的性能，滿足業(yè)務的需要。</p><p>　　可擴展性和可升級性 系統(tǒng)要有可擴展性和可升級性，隨著業(yè)務的增長和應用水平的提高，網(wǎng)絡中的數(shù)據(jù)和信息流將按指數(shù)增長，需要網(wǎng)絡有很好的可擴展性，并能隨著技術的發(fā)展不斷升級。

19、設備應選用符合國際標準的系統(tǒng)和產(chǎn)品，以保證系統(tǒng)具有較長的生命力和擴展能力，滿足將來系統(tǒng)升級的要求。</p><p>　　易管理、易維護 由于校園骨干網(wǎng)絡系統(tǒng)規(guī)模龐大，應用豐富而復雜，需要網(wǎng)絡系統(tǒng)具有良好的可管理性，同時應盡可能選取集成度高、模塊可通用的產(chǎn)品，以便于管理和維護。這里我們選用的設備是思科可網(wǎng)管的交換機，防火墻。</p><p>　　先進性、成熟性 當前計算機網(wǎng)絡技術發(fā)展很快，設

20、備更新淘汰也很快。這就要求校園網(wǎng)建設在系統(tǒng)設計時既要采用先進的概念、技術和方法，又要注意結構、設備、工具的相對成熟。這里我們技術采用流行的層次化建網(wǎng)，三層結構技術的成熟滿足網(wǎng)絡的先進性。設備選用思科主流交換機，保證4年內(nèi)設備不被淘汰。</p><p>　　安全性、保密性 網(wǎng)絡系統(tǒng)應具有良好的安全性。由于校園骨干網(wǎng)絡為多個用戶內(nèi)部網(wǎng)提供互聯(lián)并支持多種業(yè)務，要求能進行靈活有效的安全控制，同時還應支持虛擬專網(wǎng)，以提供多

21、層次的安全選擇。在系統(tǒng)設計中，既考慮信息資源的充分共享，更要注意信息的保護和隔離，包括系統(tǒng)安全機制、數(shù)據(jù)存取的權 限控制等。在次校園網(wǎng)假設中，通過劃分子網(wǎng)，在交換機上實現(xiàn)Vlan達到網(wǎng)絡安全性。</p><p>　　靈活性、綜合性 通過采用結構化、模塊化的設計形式，以滿足系統(tǒng)目標與功能為目標，保證總體方案的設計合理，滿足用戶的需求，同時便于系統(tǒng)使用過程中的維護，以及今后系統(tǒng)的二次開發(fā)與移植。</p>

22、<p><b>　　4 解決方案</b></p><p>　　由于校園網(wǎng)網(wǎng)絡特性（數(shù)據(jù)流量大，穩(wěn)定性強，經(jīng)濟性和擴充性）和各個部門的要求（制作部門和辦公部門間的訪問控制），我們采用下列方案：</p><p>　　4.1.網(wǎng)絡拓撲結構</p><p>　　根據(jù)網(wǎng)絡環(huán)境，我們可以繪制校園網(wǎng)的拓撲結構。其中，我們使用路由器同Interne

23、t連接，并且選購了一臺硬件防火墻來保護內(nèi)網(wǎng)。在網(wǎng)絡拓撲結構圖中，可以看到講多臺服務器劃分到一個VLAN中.校園網(wǎng)絡拓撲見圖4.1 圖 4.1 校園網(wǎng)絡拓撲圖 </p><p><b>　　4.2組網(wǎng)技術選擇</b></p><p>　　目前，常用的主干網(wǎng)的組網(wǎng)技術有快速以太網(wǎng)（100M

24、bps）、FDDI、千兆以太網(wǎng)（1000Mbps）和ATM（155Mbps/622Mbps）?？焖僖蕴W(wǎng)是一種非常成熟的組網(wǎng)技術，它的造價很低，性能價格比很高；FDDI也是一種成熟的組網(wǎng)技術，但技術復雜、造價高，難以升級；ATM技術成熟，是多媒體應用系統(tǒng)的理想網(wǎng)絡平臺，但它的網(wǎng)絡帶寬的實際利用率很低；目前千兆以太網(wǎng)已成為一種成熟的組網(wǎng)技術，造價低于ATM網(wǎng)，它的有效帶寬比622Mbps的ATM還高。因此，個人推薦采用千兆以太網(wǎng)為骨干，快

25、速以太網(wǎng)交換到桌面組建計算機播控網(wǎng)絡。</p><p><b>　　4.3方案說明</b></p><p>　　校園網(wǎng)網(wǎng)絡系統(tǒng)從結構上分為核心層、匯聚層和接入層。核心層的功能主要是實現(xiàn)骨干網(wǎng)絡之間的優(yōu)化傳輸,骨干層設計任務的重點通常是冗余能力、可靠性和高速的傳輸。因?qū)W校存在大量的語音和視頻傳輸。據(jù)此，考慮匯聚層對 QoS 有良好的支持并且能提供大的帶寬。接入層設備

26、是最終用戶的最直接上聯(lián)的設備，它應該具備即插即用特性以及易于維護的特點。</p><p>　　4.4關鍵核心技術的實現(xiàn)</p><p>　　由拓撲圖可以知道需要實現(xiàn)的功能：NAT、ACL、VLAN、路由功能、MSTP、VRRP、OSPF等。</p><p>　　4.1圖中中心機房的交換機與匯聚層的交換機連接方式為：匯聚層的交換機的F0/1號端口與S5750S-1交換

27、機的F0/3-8端口按如圖所示的順序連接，匯聚層交換機的F0/2號端口與S5750S-2交換機的F0/3-8號端口按如圖所示的順序連接。</p><p>　　在局域網(wǎng)中，各個設備的端口地址使用192.168.1.0/24的網(wǎng)段地址。</p><p>　　核心層設備的詳細配置（以S5750S-1的配置為例，S5750S-2的配置基本相似）：</p><p>　　設置t

28、runk 端口與互為備份的交換機以及匯聚層的交換機連接。進入F0/1-8端口設置為trunk模式，使用的命令為：</p><p>　　Switch(config-if)#switchport mode trunk</p><p>　　創(chuàng)建vlan2、3、22、23并給vlan配置地址用來管理中心機房的信息點，使用的命令為：</p><p>　　S5750S-1(co

29、nfig)#vlan 2</p><p>　　S5750S-1 (config-vlan)#exit</p><p>　　S5750S-1 (config)int 2</p><p>　　S5750S-1 (config-if)#ip address 192.168.2.1 255.255.255.0</p><p>　　S5750S-1(c

30、onfig-if)#no shutdown</p><p>　　聲明所有的vlan（vlan2-77）完成相同vlan的識別，使用的命令為：</p><p>　　S5750S-1 (config)#vlan vlan-id </p><p>　　配置rstp協(xié)議，防止廣播風暴以及提高鏈路的，使用的命令為：</p><p>　　S5750S-1

31、 (config)#spanning-tree</p><p>　　S5750S-1 (config)#spanning-tree mode rstp</p><p>　　配置ospf，使用的命令為：</p><p>　　S5750S-1 (config)#ip routing</p><p>　　S5750S-1 (config-route

32、r)#network 192.168.2.0 255.255.255.0 arae 0</p><p>　　S5750S-1 (config-router)#network 192.168.3.0 255.255.255.0 arae 0</p><p>　　S5750S-1 (config-router)#network 192.168.22.0 255.255.255.0 arae 0

33、</p><p>　　S5750S-1 (config-router)#network 192.168.23.0 255.255.255.0 arae 0</p><p>　　在核心交換機上配置VRRP（在端口4-8上同樣配值VRRP）：</p><p>　　S5750S-1 (config)#interface f0/3</p><p>　

34、　S5750S-1 (config-if)#no switchport </p><p>　　S5750S-1 (config-if)#ip add 192.168.1.2 255.255.255.0</p><p>　　S5750S-1 (config-if)#standby 1 ip 192.168.1.2</p><p>　　S5750S-1 (config-

35、if)#standby 1 preempt</p><p>　　S5750S-1 (config-if)#standby 2 ip 192.168.1.3</p><p>　　S5750S-1 (config-if)#standby 2 preempt</p><p>　　S5750S-1 (config-if)#no sh</p><p>

36、　　S5750S-1 (config-if)#exit</p><p>　　匯聚層涉及到的交換機的詳細配置（以7#的交換機的配置為例，其他結點的配置類似）：</p><p>　　配置連接核心層交換機和接入層交換機的trunk，分別進入到F0/1，F(xiàn)0/2以及連接接入層交換機的端口，將端口模式設置為trunk模式，然后使用下面的命令：</p><p>　　Switch

37、(config-if)#switchport mode trunk</p><p>　　創(chuàng)建vlan并給vlan配地址，然后使用下面的命令：</p><p>　　Switch(config)#vlan 4</p><p>　　Switch(config-vlan)#exit</p><p>　　Swtch(config)int 4</p

38、><p>　　Switch(config-if)#ip address 192.168.4.1 255.255.255.0</p><p>　　Switch(config-if)#no shutdown</p><p>　　將端口加入到相應的vlan中，使用的命令為：</p><p>　　Switch(config)#int f0/11</

39、p><p>　　Switch(config-if)#switchport access vlan 4</p><p>　　Switch(config-if)#no shutdown</p><p>　　配置ospf，然后使用下面的命令：</p><p>　　Switch(config)#ip routing</p><p>

40、;　　Switch(config-router)#network 192.168.4.0 255.255.255.0 arae 0</p><p>　　Switch(config-router)#network 192.168.5.0 255.255.255.0 arae 0</p><p>　　Switch(config-router)#network 192.168.6.0 255.2

41、55.255.0 arae 0</p><p>　　Switch(config-router)#network 192.168.7.0 255.255.255.0 arae 0</p><p>　　Switch(config-router)#network 192.168.8.0 255.255.255.0 arae 0</p><p>　　Switch(confi

42、g-router)#network 192.168.9.0 255.255.255.0 arae 0</p><p>　　Switch(config-router)#network 192.168.24.0 255.255.255.0 arae 0</p><p>　　Switch(config-router)#network 192.168.25.0 255.255.255.0 arae

43、 0</p><p>　　Switch(config-router)#network 192.168.26.0 255.255.255.0 arae 0</p><p>　　Switch(config-router)#network 192.168.27.0 255.255.255.0 arae 0</p><p>　　Switch(config-router)#n

44、etwork 192.168.28.0 255.255.255.0 arae 0</p><p>　　Switch(config-router)#network 192.168.29.0 255.255.255.0 arae 0</p><p>　　接入層設備的詳細配置（以東區(qū)食堂一卡通的交換機的配置為例，其他交換機上的配置相似）：</p><p>　　在交換機上設

45、置trunk端口連接匯聚層的交換機，使用的命令為：</p><p>　　S2126（config-if）#switchport mode trunk</p><p>　　在交換機上聲明vlan使用的命令為：</p><p>　　S2126（config）#vlan 73</p><p>　　將端口加入到相應的vlan使用的命令為：</p

46、><p>　　S2126（config）#int F0/1</p><p>　　S2126（config-if）#swtichport access 73</p><p>　　S2126（config-if）#no shutdown</p><p>　　出口路由器上的配置：</p><p>　　R2624（config）#

47、 router ospf 100</p><p>　　R2624-1(config-router)# network 192.168.0.0 0.0.255.255 area 0 </p><p>　　4.5中心機房設計方案</p><p>　　該“數(shù)字化校園”網(wǎng)絡建設的中心機房位于東區(qū)的五號教學樓的網(wǎng)絡信息管理中心。</p><p>　　中

48、心機房是核心層交換機的所在地。核心層采用雙核心交換機，在實現(xiàn)骨干網(wǎng)絡之間的優(yōu)化傳輸?shù)耐瑫r，提供核心層的冗余能力、可靠性和高速的數(shù)據(jù)傳輸。因此，對核心層的設計以及網(wǎng)絡設備的要求都十分嚴格。同時，核心層也對其所處的環(huán)境提出了很高的要求。</p><p>　　隨著計算機系統(tǒng)技術和設備的不斷更新?lián)Q代，安裝計算機設備的場地技術，即機房工程也在不斷地推陳出新。所采用的新材料、設備、工藝和技術，其目的是為了更好地保證機房的溫度

49、、濕度、潔凈度、照度、防靜電、防干擾、防震動、防雷電、及時監(jiān)控等，能充分滿足計算機設備的安全可靠地運行，延長計算機系統(tǒng)使用壽命的要求，同時又要給系統(tǒng)管理員創(chuàng)造一個舒適、典雅的環(huán)境。因此，在設計上要求充分考慮設備布局、功能劃分、整體效果、裝飾風格，體現(xiàn)現(xiàn)代機房的特點和風貌。</p><p>　　在建設中心機房時，需要多方面的考慮，具體考慮如下</p><p>　　1.內(nèi)部裝飾系統(tǒng)，具體包括：

50、</p><p>　?。?）隔斷工程：具有隔音、隔熱、耐壓等特點，透視效果極佳，整個機房四周的墻邊、墻角均做防水處理。玻璃與吊頂、地板交接處安裝亞光不銹鋼踢腳板線。主控室、休息室、機房、電源室內(nèi)隔斷采用大框玻璃隔斷，隔斷與天花、地板交接處裝不銹鋼角線；</p><p>　?。?）地面工程：主控區(qū)地板采用架空地板，為使水泥砂漿地面達到不起塵、不產(chǎn)塵、保證空調(diào)送風系統(tǒng)的空氣潔凈度，地面需要先涮

51、防塵漆做防塵處理；</p><p>　?。?）門窗工程：休息室與主控區(qū)為玻璃隔斷，門均為無框玻璃自由門；</p><p>　　（4）天花吊頂工程：根據(jù)網(wǎng)絡機房的具體建筑結構情況，整個機房為了確保機房的保溫和消防需要；而且天花板應該美觀、耐用，防火、防潮，同時與機房屏蔽網(wǎng)一起組成一個完整的屏蔽系統(tǒng)，具抗靜電、抗干擾的作用；</p><p>　?。?）墻面裝飾工程：墻面

52、處理是指采用在主機房建筑物的墻面、柱面上進行防塵、防潮、防水、保溫處理，同時使房屋內(nèi)部平整、光滑，清潔美觀，改善采用光條件，增強保溫、隔熱、隔音、防塵等性能從而改善環(huán)境條件。進行防塵處理、確保潔凈度高、不產(chǎn)生粉塵、耐久性高、不產(chǎn)生龜裂、眩光，同時起到防水、防潮、防霉的效果。</p><p><b>　　2.配電系統(tǒng)設計</b></p><p>　　一個系統(tǒng)能夠正常工作

53、，不僅需要有良好的主設備、性能卓越的UPS電源和安全舒適的工作環(huán)境，還需要有一個設計合理、可靠性高的供配電系統(tǒng)。</p><p><b>　　3.空調(diào)工程設計</b></p><p>　　為使機房的主要設備和管理操作人員有一個良好的工作環(huán)境，并使其能夠安全、可靠地運行，發(fā)揮其最大的工作效率，就要提供一個符合其運行標準要求的機房環(huán)境。這就對機房空氣的制冷、制熱、加濕、去

54、濕、濾塵有嚴格的標準要求。設備運行情況、使用壽命與工作環(huán)境有密切關系，溫度、濕度、潔凈度就是工作環(huán)境的關鍵因素。</p><p>　　在排氣系統(tǒng)的選擇時，應依照機房功能分區(qū)的設立，設置各分區(qū)的排氣系統(tǒng)。它可以使機房工作人員有一個好的空氣環(huán)境條件，排氣系統(tǒng)采用吊頂天花內(nèi)安裝，不占用機房空間。機房。</p><p><b>　　4.監(jiān)控系統(tǒng)設計</b></p>

55、<p>　　對于網(wǎng)絡機房，要考慮采用與大樓閉路監(jiān)控主機為主的安防系統(tǒng)。</p><p>　　5.機房防雷接地方案</p><p>　　網(wǎng)絡機房內(nèi)集中了大量微電子設備，而這些設備內(nèi)部結構高度集成化（VLSI 芯片），從而造成設備耐過電壓、耐過電流的水平下降，對雷電（包括感應雷及操作過電壓）浪涌的承受能力下降。感應雷侵入用電設備及計算機網(wǎng)絡系統(tǒng)的途徑主要有四個方面：交流電源380

56、V、220V電源線引入；信號傳輸通道引入；地電位反擊以及空間雷閃電磁脈沖(LEMP)等。為了確保機房設備及電腦網(wǎng)絡系統(tǒng)穩(wěn)定可靠運行，以及保證機房工作人員有安全的工作環(huán)境，根據(jù)我國及國際有關規(guī)范規(guī)定，對用戶機房提出本防雷接地方案。</p><p><b>　　4.6出口方案說明</b></p><p>　　校園網(wǎng)是高校的信息化建設的基礎設施，是教學科研管理信息化和現(xiàn)代化

57、的重要平臺。大部分高校校園網(wǎng)從初建至今已有幾年的歷史。初建時，一般都是租用一條DDN線路連接到中國教育和科研計算機網(wǎng)（CERNET）。由于中國教育科研網(wǎng)與一般的電信級運營網(wǎng)絡不同，沒有非常充裕的線路、設備冗余，有可能發(fā)生單點故障，對于校園網(wǎng)的穩(wěn)定運行有一定的影響。同時，通過CERNET訪問其他的共眾網(wǎng)如CHINANET、GBNET等速率緩慢。隨著校園網(wǎng)用戶量增加和基于校園網(wǎng)絡的各種網(wǎng)絡應用的展開，要求校園網(wǎng)絡出口具有較高的網(wǎng)絡帶寬，原有

58、單一的CERNET出口已不能滿足，有必要進一步擴大帶寬，通過當?shù)鼐W(wǎng)絡服務提供商（ISP）開辟第二出口連入INTERNET是較好的解決途徑，許多學校采用了教育網(wǎng)和電信（或聯(lián)通、鐵通等）第二出口的雙出口方案，既可以保留教育網(wǎng)資源，同時可以增加帶寬，提高了訪問INTERNET資源的速度。</p><p>　　各個學校采用了不同的技術實現(xiàn)雙出口，但是基本上思路是相同的：對于訪問教育網(wǎng)資源和mail流量走教育網(wǎng)出口，對于用

59、戶上網(wǎng)來說，走第二出口。這樣，一方面提高了校園網(wǎng)出口的冗余，增加了校園網(wǎng)的穩(wěn)定性，另一方面，也解決了校外訪問校園網(wǎng)速度過慢的問題，同時，有效減少教育網(wǎng)的國際流量，降低網(wǎng)絡運行費用。</p><p>　　第二出口從連接方式上來說，可以采用DDN專線、ISDN、ADSL等多種技術，具體可以根據(jù)需求選擇，在本文中不予以討論。</p><p>　　在原有一條CERNET接入鏈路的基礎上，通過電信開

60、辟了第二出口。而增加了校園網(wǎng)絡出口線路，從理論上說提高了網(wǎng)絡帶寬，但是如果不調(diào)整原有網(wǎng)絡系統(tǒng)的結構，其效果不能體現(xiàn)。對該方案，我們有以下幾方面的要求：</p><p>　?。?） 客戶端IP地址設置不受影響，即不用重新設置地址就可以正常上網(wǎng)；</p><p>　　（2） 客戶端訪問教育科研網(wǎng)的網(wǎng)站時，出口線路CERNET，訪問其他站點時，走中國電信線路出口。</p><

61、p>　?。?） 解決外部公眾網(wǎng)的用戶訪問我校校園網(wǎng)主頁的速度過慢的問題。</p><p>　?。?） 校園網(wǎng)絡中的郵件走CERNET線路。</p><p><b>　　涉及到的主要技術：</b></p><p>　　1、 代理服務器技術</p><p>　　代理服務器一端接入Internet,另一端接入中心路由器，

62、通過代理服務軟件實現(xiàn)客戶端上網(wǎng)。這種方式配置簡單，設備費用低廉，并且不需要大規(guī)模改變原有的設備連接和配置。但是相對來說，由于是通過代理軟件實現(xiàn)共享上網(wǎng)，訪問速度容易受到影響。</p><p><b>　　2、路由選擇</b></p><p>　　靜態(tài)路由是在路由器中設置的固定的路由表。除非網(wǎng)絡管理員干預，否則靜態(tài)路由不會發(fā)生變化。由于靜態(tài)路由不能對網(wǎng)絡的改變作出反映，

63、一般用于網(wǎng)絡規(guī)模不大、拓撲結構固定的網(wǎng)絡中。靜態(tài)路由的優(yōu)點是簡單、高效、可靠。在所有的路由中，靜態(tài)路由優(yōu)先級最高。當動態(tài)路由與靜態(tài)路由發(fā)生沖突時，以靜態(tài)路由為準。這種方式對于設備的要求較高，配置相對繁瑣，但是上網(wǎng)的路由選擇與用戶無關，用戶的上網(wǎng)方式無需進行任何改動，可操作性較好。同時，網(wǎng)絡管理人員可以根據(jù)兩個出口的帶寬和流量情況，調(diào)整路由指向。</p><p><b>　　3、策略路由技術</b&

64、gt;</p><p>　　在路由器進行包轉發(fā)決策過程中，通常是根據(jù)所接受的包的目的地址進行的。路由器根據(jù)包的目的地址查找路由表，從而作出相應的最優(yōu)路由轉發(fā)決策。當欲使某些包由其他路徑而不是明確的最短路徑路由時，就可以啟用策略路由，即按照我們具體需要來決定數(shù)據(jù)包的路由?；诓呗月酚捎腥缦聨追N方式，即：基于源IP地址的策略路由；基于數(shù)據(jù)包大小的策略路由；基于應用的策略路由；通過缺省路由平衡負載。根據(jù)實際情況我們需要

65、特定如郵件等服務器接受和發(fā)送包的路徑是通過CERNET，所以選擇的是基于源IP地址的策略路由。這種方式是最佳選擇，但是設備要求比較高。</p><p>　　在使用路由選擇時，一般采用NAT——地址轉換技術解決內(nèi)外網(wǎng)地址的轉換問題。NAT就是在內(nèi)部專用網(wǎng)絡中使用內(nèi)部地址，而當內(nèi)部節(jié)點要與外界網(wǎng)絡發(fā)生聯(lián)系時，就在邊緣路由器或者防火墻處，將內(nèi)部地址替換成全局地址合法地址，從而在外部公共網(wǎng)上正常使用。目前NAT功能通常被

66、集成到路由器、防火墻等設備中。NAT設備維護一個NAT表，用它來實現(xiàn)全局到本地和本地到全局地址的映射。NAT設置可以分為靜態(tài)地址轉換、動態(tài)地址轉換和端口地址轉換。</p><p>　?。?） 靜態(tài)地址轉換</p><p>　　靜態(tài)NAT是這三種中最容易實現(xiàn)的一種，它在NAT表中為每一個需要轉換的內(nèi)部地址創(chuàng)建了固定的轉換條目，映射了唯一的全局地址。內(nèi)部地址與全局地址一一對應。每當內(nèi)部節(jié)點與外

67、界通信時，內(nèi)部地址就會轉化為對應的全局地址。這種方式主要用于服務器，以確保外部對服務器的正確訪問。</p><p>　?。?） 動態(tài)地址轉換</p><p>　　增加了網(wǎng)絡管理的復雜性，但也提供了很大的靈活性。它將可用的全局地址地址集定義成NAT池（NATPool）。對于要與外界進行通信的內(nèi)部節(jié)點，如果還沒有建立轉換映射，邊緣路由器或者防火墻將會動態(tài)地從NAT池中選擇全局地址對內(nèi)部地址進行

68、轉化。每個轉換條目在連接建立時動態(tài)建立，而在連接終止時會被回收。這樣，網(wǎng)絡的靈活性大大增強了，所需要的全局地址進一步地減少。需要注意的是，在地址池中的可用地址被耗盡后，后續(xù)的連接請求將會失敗，會造成網(wǎng)絡連通性的問題。所以應該使用超時操作選項來回收NAT池的全局地址。另外，由于每次的地址轉換是動態(tài)的，所以同一個節(jié)點在不同的連接中的全局地址是不同的，這會使SNMP的操作復雜化。</p><p><b>　　

69、（3）端口地址轉換</b></p><p>　　端口地址轉換首先是一種動態(tài)地址轉換，但是它可以允許多個內(nèi)部本地地址共用一個內(nèi)部合法地址。對只申請到少量IP地址但卻經(jīng)常同時有多個用戶上外部網(wǎng)絡的情況，這種轉換極為有用。</p><p><b>　　5.網(wǎng)絡設備選型</b></p><p><b>　　5.1交換機</b

70、></p><p>　　校園網(wǎng)采用千兆以太交換網(wǎng)。配置2臺核心交換機和6臺二級交換機。各交換機均支持光纖擴充端口并帶有擴充模塊槽。校園網(wǎng)絡主干為千兆網(wǎng)絡，百兆交換到桌面，保障所有用戶同時調(diào)用服務資源時都能快速、流暢，充分發(fā)揮多媒體課室教學的作用；同時保證所有用戶同時上網(wǎng)順暢，使校園網(wǎng)絡的功能發(fā)揮得淋漓盡致。</p><p>　　本網(wǎng)絡工程交換機的數(shù)量和基本性能要求如表5.1：<

71、/p><p>　　表5.1 交換機的數(shù)量和基本性能要求</p><p>　　RG-S5750S-48GT/4SFP交換機</p><p>　　RG-S5750S-48GT/4SFP交換機是為IP協(xié)議、互聯(lián)網(wǎng)包交換協(xié)議IPX和IP組播提供線速交換的固定配置第三層L3以太網(wǎng)交換機交換機。這種交換機為擁有適當端口密度的中型園區(qū)主干網(wǎng)提供所需的高度性能。它非常適合集合多個配線間

72、或工作組交換機。RG-S5750S-48GT/4SFP交換機不僅為IP、IPX及IP組播提供無阻塞路由和交換，同時也為不可路由的協(xié)議提供線速第二層交換，例如NetBIOS和DECnet 局域傳輸（LAT）。這種功能允許網(wǎng)絡管理員通過交換機擴展它們的多協(xié)議主干網(wǎng)，而無須像僅采用IP交換機那樣，通常需要建立并行網(wǎng)絡。</p><p><b>　　其特性有：</b></p><

73、p>　　48個專用10/100Mb/s以太網(wǎng)端口，以及兩個支持千兆位接口轉換器的1000Base-X千兆位以太網(wǎng)端口，所有端口都擁有第三層交換功能。高性能：超過IP、IPX交換機及IP組播的10Mb/s第三層交換和路由。24Gb/s無阻塞交換矩陣。帶有高性能CPU。</p><p>　　其詳細參數(shù)如表5.2</p><p><b>　　表5.2 詳細參數(shù)</b>

74、</p><p>　　5.2 銳捷網(wǎng)絡RG-WALL 1000</p><p>　　銳捷公司的RG-WALL 1000防火墻對外部網(wǎng)絡來說它完全隱蔽了其內(nèi)部的網(wǎng)絡機構。并且它運行安全的實時內(nèi)核，而不是Unix。</p><p>　　銳捷公司的RG-WALL 1000防火墻允許已經(jīng)存在的私人或企業(yè)網(wǎng)絡安全的訪問Internet，因為它采用了一種稱為NAT（ Netw

75、ork Address Translation，網(wǎng)絡地址轉換）的技術，方便大型的企業(yè)網(wǎng)絡接入Internet，并且可于五分鐘內(nèi)完成配置。</p><p>　　透明的支持通用的TCP／IP Internet服務，如： World Wide Web， FTP， Telnet,Archie,Gopher和Rlogin等等。</p><p><b>　　5.3服務器</b

76、></p><p>　　網(wǎng)絡中心配置2臺部門級服務器，分別做應用服務器和Web服務器。其配置和性能如下：</p><p>　?。?）Web服務器1臺配置單見表5.3：</p><p>　　表5.3 服務器配置單</p><p>　　(2) 應用服務器1臺配置單見表5.4:</p><p>　　表5.4應用服務器

77、配置單</p><p><b>　　6 網(wǎng)絡系統(tǒng)建設</b></p><p>　　6.1 網(wǎng)絡平臺選擇</p><p>　　校園網(wǎng)作為學校教學與治理現(xiàn)代化的基礎實施，除了能對學校的辦公自動化與輔助教學提供強有力的支持外，在信息交流、 經(jīng)驗分享、消息發(fā)布、思想溝通、工作協(xié)同、教學研討等方面也能發(fā)揮非常重要的作用。同時,作為學校教學的工具，校園網(wǎng)也

78、向?qū)W生提供了前所未有的機會。如何選擇適合于自己校園網(wǎng)的各種系統(tǒng)平臺，是建網(wǎng)時首先需要考慮的問題。</p><p><b>　　6.2 硬件平臺 </b></p><p>　　校園網(wǎng)的硬件平臺主要是指將校內(nèi)的各個部門的計算機和相關的信息處理設備以某種方式物理地連接起來，形成一個信息交流與共享的網(wǎng)絡。 </p><p>　　根據(jù)目前網(wǎng)絡技術的發(fā)展狀

79、況，結合學校包含大量多媒體信息的特點，應選用具有足夠帶寬的局域網(wǎng)。</p><p>　　在各種交換式局域網(wǎng)中，比較適合于構筑校園網(wǎng)的有千兆以太網(wǎng)和ATM。在構筑校園網(wǎng)硬件平臺時，可采用“千兆交換為主干，百兆交換到桌面”的體系結構。對于千兆以太網(wǎng)，中心交換機選用帶光纖接口的千兆以太網(wǎng)交換機，節(jié)點交換機選用具有一個光纖口和若干個通到桌面的RJ45口的百兆交換機。 </p><p>　　根據(jù)學校

80、的具體情況選擇DDN、ISDN或普通電話線上網(wǎng)三種方式。 在這里我們選擇DDN專線連接Internet,提供高質(zhì)量上網(wǎng)服務。</p><p>　　選用DDN專線時，必須通過路由器與Internet相連，路由器中可配置防火墻。DDN的速度比較快，最高可達2M。但由于需向電信部門租用線路，所以費用比較高。 </p><p><b>　　6.3 操作系統(tǒng) </b></

81、p><p>　　網(wǎng)絡操作系統(tǒng)是網(wǎng)絡系統(tǒng)與用戶之間的接口，主要用來屏蔽本地資源與網(wǎng)絡資源的差異性，為用戶提供各種基本網(wǎng)絡服務功能，完成網(wǎng)絡資源治理，并保證系 統(tǒng)的安全服務。目前的網(wǎng)絡操作系統(tǒng)主要有Novell公司的Netware、Microsoft公司的WindowsNT、IBM公司的 OS/2WarpServer、 BanyanSystems公司的VINES以及UNIX等五種網(wǎng)絡操作系統(tǒng)。要想正確選擇網(wǎng)絡操作系統(tǒng)，一

82、般要從目錄服務、客戶機/服務器消息傳遞、治理能力以及Internet和Intranet連接性能等四個方面加以考慮。 </p><p>　　最適合于校園網(wǎng)的操作系統(tǒng)應該是WindowsNT。----WindowsNT是以Windows及其他操作系統(tǒng)(如 UNIX、VMS、MVS)的技術為基礎的主從結構專用的高性能、開放式的操作系統(tǒng)。它保持了易學易用的Windows界面，而且最重要的是，WindowsNT可以讓使用者

83、選擇許多高性能且易用的應用軟件，包括全新的32位Windows應用軟件與現(xiàn)行的Windows、MSDOS、 OS/2等系統(tǒng)的應用軟件。 </p><p><b>　　6.4 應用平臺 </b></p><p>　　BackOffice 是專門為Internet與Intranet設計的一組功能強大、連接緊密的服務器應用軟件，它包括WindowsNTServer、MSMa

84、il、 SQLServer、SMS和SNA。這是一組集成的運行于WindowsNT上的服務器應用組件,它可以按照學校的應用情況逐漸添加到網(wǎng)絡中。比如,當很多人需要使用電子郵件或是需要連接到InternetMail的時候,可以在WindowsNTServer上增加MSMail服務，或者把現(xiàn)有的 FoXPro數(shù)據(jù)庫升級到SQLServer,來獲得更好的多用戶支持與數(shù)據(jù)治理性能。SMS可以幫用戶更好地治理局域網(wǎng)與廣域網(wǎng),進行遠程診斷與軟件自動

85、下裝；SNA可以連接PC局域網(wǎng)和IBM主機及小型機?？傊?BackOffice會提高網(wǎng)絡的靈活性與可靠性。 </p><p>　　BackOffice 也可以與Microsoft公司的Office軟件結合起來使用。學校的每一個人都可以直接利用他們桌面上的Office軟件進行操作，檢索和分析存在服務器上的數(shù)據(jù)，形成可以訪問與操作高級后臺服務的客戶機/服務器應用。----從上面的敘述可以看出，這兩種產(chǎn)品都能比較好地為

86、校園網(wǎng)的應用提供支持。 LotusNotes集成度高，用戶的安裝與使用既省事又方便，但因該軟件包含的功能較多，應用系統(tǒng)的開發(fā)難度較大，需要經(jīng)過一段時間的學習和實踐； BackOffice是以搭積木的方式組成的一系列服務器軟件，用戶完全可以根據(jù)應用的需求和把握的情況逐步使用或開發(fā)某些功能，但因涉及許多服務器軟件，會對用戶的安裝和使用帶來不便。</p><p><b>　　7 網(wǎng)絡地址規(guī)劃</b>

87、;</p><p>　　在校園網(wǎng)中，主要包括校園辦公系統(tǒng)，校園內(nèi)部主頁，內(nèi)部電子郵件，多媒體教室，電子圖書館系統(tǒng)，內(nèi)部信息服務系統(tǒng)等。</p><p>　　在系統(tǒng)中，整個網(wǎng)絡由網(wǎng)絡中心，教職工宿舍子網(wǎng)，綜合樓子網(wǎng)，多媒體教室，宿舍子網(wǎng)，一卡通子網(wǎng)，圖書館子網(wǎng)等組成，其中網(wǎng)絡中心是整個網(wǎng)絡的主干系統(tǒng)，是網(wǎng)絡的總結點，其余各子網(wǎng)是功能子網(wǎng)，建立相應的網(wǎng)絡環(huán)境，適應各種應用。網(wǎng)絡中心構成總結點，

88、各個子網(wǎng)的中心作為二級節(jié)點。</p><p>　　7.1 IP 地址規(guī)劃</p><p>　　IP 地址規(guī)劃是整個網(wǎng)絡設計中的重要組成部分，地址規(guī)劃的科學性和合理性將直接反應網(wǎng)絡拓撲的設計思想，對網(wǎng)絡的穩(wěn)定起到至關重要的影響。好的地址規(guī)劃同科學的分層網(wǎng)絡拓撲設計相輔相承，共同形成整體的網(wǎng)絡設計解決方案。</p><p>　　合理的網(wǎng)段劃分結合靈活的 VLAN 規(guī)劃

89、，可以有效地降低網(wǎng)絡風暴的產(chǎn)生，保證整個網(wǎng)絡的穩(wěn)定，同時也起到一定的網(wǎng)絡安全功能。IP 地址規(guī)劃目標是建立高效的網(wǎng)絡路由；有效的利用有效的網(wǎng)絡地址資源；支持網(wǎng)絡的擴展支持網(wǎng)絡技術的發(fā)展和演變。</p><p>　　IP地址分配及VLAN劃分見表7.1（東區(qū)），表7.2（西區(qū)）。子網(wǎng)掩碼全部為默認的255.255.255.0</p><p>　　表7.1 東區(qū)IP地址分配策略</p&

90、gt;<p>　　表7.2 西區(qū)IP地址分配策略</p><p>　　7.2 VLAN 劃分</p><p>　　默認時，交換機分隔沖突域；路由器分隔廣播域。第 2 層交換式網(wǎng)絡的最大好處是，它為插入到交換機每個端口的每臺設備創(chuàng)建了各自的沖突域。但每一個新的改進通常都會引起新的問題——用戶和設備的數(shù)量越大，每臺交換機必須處理的廣播和數(shù)據(jù)包就越多。</p>&l

91、t;p>　　通過創(chuàng)建虛擬局域網(wǎng)（VLAN），就可以在一個純交換式的互聯(lián)網(wǎng)絡中，分隔廣播域。VLAN 是兩個部分的邏輯組合：一是網(wǎng)絡用戶；二是在管理上連接到交換機所定義端口的資源。 如果創(chuàng)建了 VLAN，情況就可以大大改善。在虛擬創(chuàng)建局域網(wǎng)時，可以將交換機上的不同端口分派到不同的子網(wǎng)中，這樣就可以在第二層交換式互聯(lián)網(wǎng)絡中創(chuàng)建一些小的廣播域。可以象對待單獨的子網(wǎng)和廣播域一樣來對待 VLAN，這意味著網(wǎng)絡上的廣播域只在同一個VLAN 內(nèi)

92、部的邏輯組的端口之間進行轉發(fā)。用 VLAN 來簡化網(wǎng)絡管理的方式有多種：通過將某個端口配置到合適的 VLAN 中，就可以實現(xiàn)網(wǎng)絡的添加、移動和改變。將對安全性要求高的一組用戶放入 VLAN 中，這樣，VALN 外部的用戶就無法與他們通信。作為功能上的邏輯用戶組，可以認為 VLAN 獨立于它們的物理位置或地理位置。VLAN可以增強網(wǎng)絡安全性。VLAN 增加了廣播域的數(shù)量，同時減少了廣播域的范圍。</p><p>　

93、　Vlan的劃分如表7.3所示：</p><p>　　表7.3Vlan劃分</p><p>　　8“數(shù)字化校園”網(wǎng)絡建設方案實施控制流程</p><p>　?。?） 進行系統(tǒng)全面的需求分析，了解本網(wǎng)絡中的各項功能要求，用戶需求。寫出詳細的需求分析報告。</p><p>　　（2）依據(jù)需求分析報告做出網(wǎng)絡的規(guī)劃及設計，確定網(wǎng)絡中具體的功能，及網(wǎng)

94、絡中所需的技術要求。做出細致全面的分析和設計。例如：規(guī)劃網(wǎng)絡的結構，確定核心層 匯聚層 接入層的基本方案，各個層次的設備選型，各區(qū)域間的網(wǎng)絡功能及實現(xiàn)功能所需的網(wǎng)絡技術。</p><p>　?。?）網(wǎng)絡建設的具體實施，購買所需的設備 例如：線路中用到的光纖，各個層次中的交換機 路由器，服務器等。依照前面做出的規(guī)劃設計報告，具體建設各個部門 例如：中心機房 各個樓層的通信交換中心 網(wǎng)絡節(jié)點的匯聚中心。在整個校園網(wǎng)絡

95、的區(qū)域內(nèi)布線，連接各個局域網(wǎng)絡。配置各個設備的功能 例如：ip地址 VLAN的劃分 路由選擇功能 MSTP VRRP技術等功能要求。完成網(wǎng)絡的基本框架建設 功能建設。</p><p>　?。?）對建成的網(wǎng)絡進行測試和調(diào)試，在測試中應當保證網(wǎng)絡的正常運行，網(wǎng)絡功能的正常運行。網(wǎng)絡的穩(wěn)定程度。發(fā)現(xiàn)網(wǎng)絡中存在的問題并予以改正。</p><p>　?。?）網(wǎng)絡建成并測試運行后交付使用方，對使用方相

96、關網(wǎng)絡管理人員進行培訓以保證網(wǎng)絡的正常運行。</p><p>　　注：在整個網(wǎng)絡的建設實施過程中除建設方外由第三方進行監(jiān)理活動以保證本網(wǎng)絡建設的質(zhì)量。</p><p>　　9校園網(wǎng)的維護與保障策略 </p><p>　　由于校園網(wǎng)網(wǎng)絡特性（數(shù)據(jù)流量大，穩(wěn)定性強，經(jīng)濟性和擴充性）和各個部門的要求（制作部門和辦公部門間的訪問控制），我們采用下列方案： </p>

97、;<p>　　9.1物理安全設計 </p><p>　　為保證校園網(wǎng)信息網(wǎng)絡系統(tǒng)的物理安全，除在網(wǎng)絡規(guī)劃和場地、環(huán)境等要求之外，還要防止系統(tǒng)信息在空間的擴散。計算機系統(tǒng)通過電磁輻射使信息被截獲而失密的案例已經(jīng)很多，在理論和技術支持下的驗證工作也證實這種截取距離在幾百甚至可達千米的復原顯示技術給計算機系統(tǒng)信息的保密工作帶來了極大的危害。為了防止系統(tǒng)中的信息在空間上的擴散，通常是在物理上采取一定的防護措

98、施，來減少或干擾擴散出去的空間信號。</p><p>　　正常的防范措施主要在三個方面：對主機房及重要信息存儲、收發(fā)部門進行屏蔽處理，即建設一個具有高效屏蔽效能的屏蔽室，用它來安裝運行主要設備，以防止磁鼓、磁帶與高輻射設備等的信號外泄。為提高屏蔽室的效能，在屏蔽室與外界的各項聯(lián)系、連接中均要采取相應的隔離措施和設計，如信號線、電話線、空調(diào)、消防控制線，以及通風、波導，門的關起等。對本地網(wǎng) 、局域網(wǎng)傳輸線路傳導輻射

99、的抑制，由于電纜傳輸輻射信息的不可避免性，現(xiàn)均采用光纜傳輸?shù)姆绞剑蠖鄶?shù)均在Modem出來的設備用光電轉換接口，用光纜接出屏蔽室外進行傳輸。</p><p>　　9.2網(wǎng)絡共享資源和數(shù)據(jù)信息安全設計 </p><p>　　針對這個問題，我們決定使用VLAN技術和計算機網(wǎng)絡物理隔離來實現(xiàn)。VLAN（Virtual LocalArea Network）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設備邏

100、輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術。</p><p>　　IEEE于1999年頒布了用以標準化VLAN實現(xiàn)方案的802.1Q協(xié)議標準草案。VLAN技術允許網(wǎng)絡管理者將一個物理的LAN邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。</p><p>　　但由于它是邏輯地而

101、不是物理地劃分，所以同一個VLAN內(nèi)的各個工作站無須放置在同一個物理空間里，即這些工作站不一定屬于同一個物理LAN網(wǎng)段。一個VLAN內(nèi)部的廣播和單播流量都不會轉發(fā)到其它VLAN中，即使是兩臺計算機有著同樣的網(wǎng)段，但是它們卻沒有相同的VLAN號，它們各自的廣播流也不會相互轉發(fā)，從而有助于控制流量、減少設備投資、簡化網(wǎng)絡管理、提高網(wǎng)絡的安全性。VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的，它在以太網(wǎng)幀的基礎上增加了VLAN頭，用VLAN

102、ID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態(tài)管理網(wǎng)絡。從目前來看，根據(jù)端口來劃分VLAN的方式是最常用的一種方式。許多VLAN廠商都利用交換機的端口來劃分VLAN成員，被設定的端口都在同一個廣播域中。例如，一個交換機的1，2，3，4，5端口被定義為虛擬網(wǎng)AAA，同一交換機的6，7，8端口組成虛擬網(wǎng)BBB。這樣做允許各端口之間的通

103、訊，并允許共享型網(wǎng)絡的升級。</p><p>　　但是，這種劃分模式將虛擬網(wǎng)絡限制在了一臺交換機上。第二代端口VLAN技術允許跨越多個交換機的多個不同端口劃分VLAN，不同交換機上的若干個端口可以組成同一個虛擬網(wǎng)。以交換機端口來劃分網(wǎng)絡成員，其配置過程簡單明了。</p><p><b>　　9.3防火墻技術</b></p><p>　　企業(yè)防火

104、墻一般是軟硬件一體的網(wǎng)絡安全專用設備，專門用于TCP/IP體系的網(wǎng)絡層提供鑒別，訪問控制，安全審計，網(wǎng)絡地址轉換（NAT），IDS，VPN，應用代理等功能，保護內(nèi)部局域網(wǎng)安全接入INTERNET或者公共網(wǎng)絡，解決內(nèi)部計算機信息網(wǎng)絡出入口的安全問題。</p><p>　　校園網(wǎng)的一些信息不能公布于眾，因此必須對這些信息進行嚴格的保護和保密，所以要加強外部人員對校園網(wǎng)網(wǎng)絡的訪問管理，杜絕敏感信息的泄漏。通過防火墻，嚴

105、格控制外來用戶對校園網(wǎng)網(wǎng)絡的訪問，對非法訪問進行嚴格拒絕。防火墻可以對校園網(wǎng)信息網(wǎng)絡提供各種保護，包括：過濾掉不安全的服務和非法訪問，控制對特殊站點的訪問，提供監(jiān)視INTERNET安全和預警，系統(tǒng)認證，利用日志功能進行訪問情況分析等。通過防火墻，基本可以保證到達內(nèi)部的訪問都是安全的可以有效防止非法訪問，保護重要主機上的數(shù)據(jù)，提高網(wǎng)絡完全性。校園網(wǎng)網(wǎng)絡結構分為各部門局域網(wǎng)（內(nèi)部安全子網(wǎng)）和同時連接內(nèi)部網(wǎng)絡并向外提供各種網(wǎng)絡服務的安全子網(wǎng)。

106、防火墻的拓撲結構圖。</p><p>　　內(nèi)部安全子網(wǎng)連接整個內(nèi)部使用的計算機，包括各個VLAN及內(nèi)部服務器，該網(wǎng)段對外部分開，禁止外部非法入侵和攻擊，并控制合法的對外訪問，實現(xiàn)內(nèi)部子網(wǎng)的安全。共享安全子網(wǎng)連接對外提供的WEB，EMAIL，F(xiàn)TP等服務的計算機和服務器，通過映射達到端口級安全。外部用戶只能訪問安全規(guī)則允許的對外開放的服務器，隱藏服務器的其它服務，減少系統(tǒng)漏洞。</p><p&g

107、t;<b>　　參考文獻:</b></p><p>　　[1] 朱加強.《計算機網(wǎng)絡技術》.北京：北大燕工教育研究院，2007</p><p>　　[2] 袁津生，吳硯農(nóng)。 計算機網(wǎng)絡安全基礎[M]. 北京：人民郵電出版社，2006.7.</p><p>　　[3] 中國IT實驗室。 VLAN及VPN技術[J/OL], 2009</p&g